Github wzmacnia swoje bezpieczeństwo po znalezieniu oszałamiających 39 milionów tajemnic – kluczy API, poświadczeń, prac – wyciągania z repozytoriów w 2024 r. Ta ekspozycja naraża użytkowników i organizacje poważne.
Według Githuba raportten ogromny wyciek został wykryty przez jego Tajna usługa skanowaniaktóry identyfikuje odsłonięte klucze API, hasła i tokeny w ramach repozytoriów.
„Tajne wycieki pozostają jednym z najczęstszych – i możliwych do zapobiegania – przyczyny incydentów bezpieczeństwa”, stwierdził Github w swoim ogłoszeniu, zauważając, że „Gdy rozwijamy kod szybciej niż kiedykolwiek wcześniej, wyciekamy również sekretami szybciej niż kiedykolwiek”.
Pomimo środków takich jak „Push Protection”, uruchomione w kwietniu 2022 r. I domyślnie włączone w publicznych repozytoriach w lutym 2024 r., Sekrety nadal wyciekają z powodu deweloperów priorytetujących wygodę podczas obsługi tajemnic podczas popełnienia i przypadkową ekspozycję repozytorium poprzez historię GIT.
Aby zwalczyć te wycieki, Github wprowadza kilka nowych środków i ulepszeń:
- Samodzielna tajna ochrona i bezpieczeństwo kodu: Dostępne jako osobne produkty, narzędzia te nie wymagają już pełnej licencji bezpieczeństwa GitHub, mającym na celu bardziej przystępne dla mniejszych zespołów.
- Bezpłatna ocena ryzyka w całej całej organizacji: Sprawdza wszystkie repozytoria (publiczne, prywatne, wewnętrzne i zarchiwizowane) pod kątem odsłoniętych tajemnic, dostępnych dla wszystkich organizacji Github bez żadnych kosztów.
- Push Ochrona z delegowanymi elementami obwodnictwa: Ulepszone skany ochrony push dla tajemnic przed popchnięciem kodu i pozwala organizacjom określić, kto może ominąć ochronę, dodając w ten sposób kontrolę poziomu zasad.
- Tajne wykrywanie napędzane kopiotem: GitHub wykorzystuje sztuczną inteligencję przez Copilot, aby wykryć nieustrukturyzowane sekrety, takie jak hasła, mające na celu poprawę dokładności i niższych fałszywych pozytywów.
- Ulepszone wykrywanie za pośrednictwem partnerstwa dostawcy chmury: GitHub współpracuje z dostawcami, takimi jak AWS, Google Cloud i Openai, aby zwiększyć dokładność tajnych detektorów i przyspieszyć odpowiedzi na wycieki.
„Na dzień dzisiejszy nasze produkty bezpieczeństwa można kupić jako samodzielne produkty dla przedsiębiorstw, umożliwiając zespołom programistów szybką skalowanie bezpieczeństwa”, wyjaśnił Github. „Wcześniej inwestowanie w tajne skanowanie i ochronę na pchanie wymagało zakupu większego zestawu narzędzi bezpieczeństwa, co sprawiło, że jest zbyt drogi dla wielu organizacji”.
Sąd odrzuca roszczenia o wartości miliarda dolarów przeciwko Githubowi Copilotowi
Oprócz aktualizacji Githuba użytkownicy są zachęcani do podjęcia proaktywnych kroków w celu ochrony przed tajnymi wyciekami. Zalecenia obejmują włączenie ochrony PUSH na poziomie repozytorium, organizacji lub przedsiębiorstwa w celu zapobiegawczego blokowania tajemnic. GitHub sugeruje również wyeliminowanie skodowanych tajemnic za pomocą zmiennych środowiskowych, tajnych menedżerów lub sklepień.
Platforma doradza dodatkowo korzystanie z narzędzi zintegrowanych z rurociągami CI/CD i platformami chmurowymi do programowego tajnego obsługi, minimalizując interakcję człowieka podatną na błędy i potencjalną ekspozycję.
Na koniec Github zachęca użytkowników do przeglądu przewodnika „najlepszych praktyk” w celu kompleksowego zarządzania tajemnicami.
